Passwortschutz in MS-Office-Dokumenten unsicher

In einem Posting auf SecurityTracker weist Thorsten Delbrouck-Konetzko auf eine Sicherheitslücke in Word hin, über die sich der Passwortschutz von Dokumenten relativ leicht aushebeln lässt.

Die passende Funktion "Sicherheit" im Extras-Menü dient unter anderem dem Schutz von Formularen: Nur wirklich solche Teile eines Dokuments, die nach Auffassung seines Schöpfers Daten anderer Benutzer entgegennehmen dürfen -- also etwa Texteingabefelder -- sollen sich ändern lassen. Andere Teile, einfacher Text um das Formular herum etwa, auf Wunsch auch ganze Dokumente, bleiben bei aktiviertem Passwortschutz vor Modifikationen zunächst bewahrt; der Benutzer kann weder Wörter und Absätze markieren noch den Cursor darin platzieren.

Delbrouck-Konetzko beschreibt detailliert, wie man eine derart geschützte Word-Datei öffnet, im HTML-Format abspeichert und dort das Passwort im Klartext aufstöbert, um dann das .DOC-File per Hex-Editor zu öffnen, das Passwort zu suchen und durch einen Leerstring zu ersetzen. Nach diesen Modifikationen seien die Sicherheitsmaßnahmen außer Kraft, in älteren Office-Versionen ebenso wie bei Word 2003.

Microsoft bestätigt die Sicherheitslücke in seiner Knowledge Base, wiegelt aber ab: der Passwortschutz sei für die Gruppenarbeit in Netzwerken konzipiert worden, und nicht dazu, Dokumente vor bösartigen Angriffen zu schützen. Einen Patch, um das Problem zu lösen, gibt es bislang ebensowenig wie einen wirklich sicheren Dokumentenschutz in MS Office. (se)